среда, 14 марта 2012 г.

#2 - Security day

Сегодня посетил семинар от компании softline со столь броским названием.

Первым докладчиком был Андрей Медведев, руководитель направления ЦИБ по Сибири и Дальнему Востоку.

Первой темой его выступления был: "Обзор законодательства РФ и этапы построения системы защиты ПДн".

Нормативная база:
Конституция
ФЗ-152, ФЗ-160(19.12.2005) и остальные ФЗ
ПП 781, ПП 687 и остальные ПП
Методички: ФСБ, ФСТЭК, Роскомнадзор

ФЗ-152 не распространяется на:
1. Физические лица, обрабатывающие ПДн для себя
2. Архивное делопроизводство
3. Если ПДн - гос. тайна
4. Деятельность судов

Варианты построения СЗПДн
1. С помощью методических рекомендаций (Минздрав, БР, Минсвязь).
2. С помощью регуляторов (ФСБ, ФСТЭК)

Норм:
ФЗ-152
КСИИ
PCI DSS
СТО БР ИББС
ISO 27001
ISO 9001

Ответственность может быть:
1. Дисциплинарная
2. Административная 
3. Уголовная

Недобросовестное использование:
1. Принимаем договор об обработке ПДн.
2. Становимся недовольными и жалуемся в Роскомнадзор.
3. РКН приходит с проверкой
4. ???
5. PROFIT

Этапы построения:
Пирамида в основании которой техническое обеспечение, далее идет технология и на вершине - информация.

От кого мы защищаемся:
Внутренний нарушитель (2шт.)
Внешний нарушитель
Вредоносное ПО
Аппаратные закладки
(неразборчиво написанное словосочетание)

От чего: НСД, ТКУИ

Этапы построения:
Предпроектное обследование->Проектирование систем->Закупка средств защиты->Создание СЗПДн->Сопровождение СЗПДн->Предпроектное обследование->...

 (что-то вроде порядка создания в соответствии с ФЗ-152):
1. Перечень ПДн
2. Описание технического процесса обработки ПДн
3. Топология ИСПДн
4. Акт классификации
5. Модель нарушителя
6. ЧМУ
7. СЗПДн

Оптимизация:
Анализ информационных ресурсов
Изучение информационных потоков
Минимизация актуальных угроз
Оптимизация СЗПДн

Организационно-режимные меры
Сертифицированные средства ЗИ (ФСТЭК)
Сертифицированные криптосредства (ФСБ)

Создание СЗПДн:
Разработка и согласование плана
Разработка и согласование внедрения
Разработка и согласование контроля
Разработка и согласование ...
Контроль эффективности

Дальше была реклама "А почему собственно софтлайн".

Отступлением от темы доклада была критика выступавшего и указание на незнание материала и запугивание сверх сложностью процессов для выхаривания денег.

Итого у софтлайна 3 лицензии ФСБ и 2 ФСТЭК.

Второй темой выступления было: "Обеспечении безопасности информации в КСИИ".

Проблемы у докладчика были аналогичные, доклад был гораздо короче (видимо настроение аудитории призывало его улететь в Новосибирск и больше не появляться).

Затем вытупал Сыров Михаил, региональный представитель Лаборатории Касперского в СФО и ДФО.

Весело, задорно, облачно.

Рассказал про плюшки, про то что 1 час DDos'а стоит 20$, а день - 100$.

Последней выступала Анна Ровнер, партнерский отдел Entensys.

Показывала красоты Новосибирска (откуда и прибыли все 3 докладчика), рассказала как создать порно-сайт.

Комментариев нет:

Отправить комментарий